/tech/ - Tech 2.0

Mode: Reply
Name
Subject
Message

Max message length: 4096

Opciones
Files
E-mail
Password

(used to delete files and postings)
Misc

Remember to follow the rules

Duda co DDoS Choroy 09/08/2023 (Fri) 02:01:58 e3c004 No. 10015
Estoy estudiando los tipos de denegación de servicio, y me surgió una duda. Si envío un paquete TCP a un destino por ejemplo 12.1, y mi origen es 3.2, ¿el servidor utilizará la dirección mia que se le da al paquete como origen para responderme cierto? Es decir que si a ejemplo.com le hago un GET HTTP y en el origen de los paquetes tcp pongo 3.2, los paquetes resultantes del servidor deberían tener 3.2 como dirección de destino. Entonces, si hago un GET HTTP a 12.1 y en vez de poner como origen en los paquetes TCP mi dirección 3.2, pusiera 3.3, el servidor debería enviar el 200 OK a la máquina conectada en 3.3, ¿eso es así o entendí mal? Y si fuera así, ¿el ataque de denegación pudiera calificar como denegación distribuída si asigno una cuota del tráfico saliente de mi máquina a x cantidad de servidores con la misma IP de origen, siendo ésta una ip tercera por ej, 3.3? Gracias
Choroy 09/08/2023 (Fri) 02:04:21 21cd5c No.10016
Sí.
Choroy 09/08/2023 (Fri) 02:12:20 876a60 No.10017
>>10015 La teoría dice que el host remoto mandaría el paquete a la chucha según diga la cabecera. En la práctica, el core de tu ISP te puede dropear el paquete con origen spoofeado o incluso antes de entrar al core.
Choroy 09/08/2023 (Fri) 02:14:41 e3c004 No.10018
>>10017 ¿Pero cómo saben el origen del paquete spoofeado?, harán una coomparación de la MAC del router/modem con la que va el paquete pa caxar si concuerda con la IP que tiene actualmente o ¿usan algún otro método?
Choroy 09/08/2023 (Fri) 02:18:44 e3c004 No.10019
>>10018 Me auto respondo: https://security.stackexchange.com/a/32006
Choroy 09/08/2023 (Fri) 02:21:26 d979da No.10020
>>10019 y como le hacen
Choroy 09/08/2023 (Fri) 02:22:54 876a60 No.10021
>>10018 Olvidate de capa de enlace porque es muy abajo. La respuesta es RFC2827, los routers del ISP dropean todo paquete entrante del lado del cliente si la IP de origen no pertenece al prefijo que le corresponde. Esto ya reduce mucho las direcciones usables para el ataque. Si la compañía tiene hardware mas OP podría incluso filtrarte si no usas la IP que te dieron.
Choroy 09/08/2023 (Fri) 02:32:57 e3c004 No.10022
>>10021 Vale anon te pasaste, entonces si teorícamente pudiera desactivar dicha función ¿solo tendría que preocuparme de la capa de enlace cierto? duda: de alterar el firmware del equipo, cosa que me llevaría volver pisapapeles a muchos equipos, supongo que habrá algún tipo de comprobación del firmware para caxar si es legítimo, como hacían los nokia con symbian que usaban crc32 y si no daba, no aceptaban el firmware mod. ¿será algo así? o aunque modificara el firmware, ¿ellos updatean los equipos constantemente? Gracias
Choroy 09/08/2023 (Fri) 02:34:45 9da3bb No.10023
no sé por qué me tinca que este hilo es 1 puro mismomaricón
Choroy 09/08/2023 (Fri) 02:43:25 876a60 No.10024
>>10022 Si el ISP y la red global no filtrara, termina mandando paquetes que no pueden retornarse, solo quemaria ancho de banda o en el peor caso, le echaría la culpa a un tercero. Que por cierto la adulteración de software tendría que ser en los routers de core y de extremo del ISP, no el equipo del usuario.
fare 09/08/2023 (Fri) 02:45:18 dac021 No.10025
>>10023 estoy de acuerdo
Choroy 09/08/2023 (Fri) 02:50:37 e3c004 No.10026
>>10024 A vale, tiene lógica ahora que lo mencionas. De todas formas, aprendí un montón. Así que gracias a todos los que respondieron sin la envidia encima. LA ENVIDIA SE LOS CARCOME WEÓN
Choroy 09/08/2023 (Fri) 13:09:12 786e9c No.10028
>>10024 Ojo que existen muchas ISPs mal configuradas que no realizan esos filtros. Por TCP no tiene mucho sentido ya que nunca vas a lograr un handshake, pero con UDP se usa habitualmente para realizar ataques de amplificación de tráfico, básicamente identificas alguna aplicación que al recibir un determinado datagrama genere una respuesta mucho más grande y luego lo envías a todos los servidores que pilles reemplazando la IP de origen por la que quieres atacar. https://www.cloudflare.com/learning/ddos/dns-amplification-ddos-attack/
Choroy 09/14/2023 (Thu) 15:09:29 8e251d No.10079
FPkGUfgVEAEBZpx (1).jpg
40.07 KB, 519x519
Web Application Firewall.
Choroy 09/15/2023 (Fri) 14:34:40 0d7ec2 No.10124
>>10028 Creo que nadie realmente tiene activados esos filtros , requeriria que un mono haga un script que tome las de las tablas BGP las ips que los clientes rio abajo anuncian hacia el core y filtrar cualquier cosa que venga con una ip src que no este en la tabla. Dependendiendo del router puede causar un tremendo incremento de uso de cpu.
Choroy 09/15/2023 (Fri) 20:22:06 3d2fa2 No.10125
>>10124 Se asume que cada ISP filtra el tráfico saliente lo antes posible, de ese modo es mucho más simple el filtro y no tienes que meterte con BGP, solo bloqueas toda IP que no esté en el rango que entregas a clientes.
Choroy 09/15/2023 (Fri) 20:31:54 637b4c No.10126
>>10018 La MAC no alcanza a llegar al otro extremo en una red TCP/IP. En una red Ethernet, sí dependes que los distintos puntos de red conozcan la dirección MAC del resto (ejecuta arp y rarp en tu red local, por ejemplo). >>10021 Ojo con el RFC2827, porque si bien es una recomendación, no es raro encontrar routers de borde que permiten spoofing.
Choroy 09/30/2023 (Sat) 11:44:31 9e83f3 No.10231
>>10124 >cpu Los routers de la planta enrutan y filtran por hardware.
Delete
Report